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Prufungsantrag gem. § 44 PatG ist gestellt 

(S) System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze 
@ System und Verfahren zur automatisierten Kontrolle 

des Passierens einer Grenze mit einer Personendatener- 

fassungseinrichtung, einer Biometriedatenerfassungs- 

einrichtung, einer Personendatenweitergabeeinrichtung, 

einer Datenspeichereinrichtung, einer Durchgangs- 

schleuse, einer Vereinzelungseinrichtung, einer Datenle- 

seeinrichtung, einer Echtheitsuberprufungseinrichtung, 

einer Datenmanipulationsuberprufungseinrichtung, einer 

Einrichtung zum Offnen des Eingangs der Durchgangs- 

schleuse, einer Biometriedatenerfassungseinrichtung, ei- 
ner Vergleichseinrichtung, einer Alarmausloseeinrich- 

tung, einer Personendatenweitergabeeinrichtung und ei- 
ner Einrichtung zum Offnen des Ausgangs der Durch- 

gangsschieuse und ein Verfahren zur automatisierten 

Kontrolle des Passierens einer Grenze. 
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Beschreibung 

Die vorliegende Erfindung beirifft ein System und ein 
Verfahren zur automatisierten Kontrolle des Passierens einer 
Grenze. 5 

Grenzkontrollen z. B. an Flughafen, aber auch im Bercich 
der Land- und Fahrverkehre sind fur den grenzuberschrei- 
tenden Personenverkehr zeilkriiisch. Gleichzeitig ist der 
Auf wand der Kontrollbehorden - unier anderem wegen des 
Schengener Abkommens in den vergangenen Jahren iiber- 10 
proportional zur Anzahl der Reisenden gestiegen. Die seit 
Jahren steigende Mobilital der Mcnschen und wachsende 
Passagicrzahlen im inlernaiionalen Flugverkehr fuhren zu 
neuen Anforderungen im Personenbetorderungswesen. An- 
dererseits sind die personelJen und finanzielien Ressourcen 15 
der staat lichen Konirollbehorden, der Luftverkehrsunier- 
nehmen und der Flughafenbetreiber sowie die raumlichen 
Gcgcbcnhciicn auf viclcn inlernaiionalen Vcrkchrsflughafcn 
zunehmend begrenzt. 

Der Erfindung liegt soniil. die Aufgabe zugrunde, die Ge- 20 
schwindigkeit des Passagierverkehrs zu erhohen. 

ErfindungsgemaB wird diese Aufgabe gelost durch ein 
System zur auioniatisierien Kontrolle des Passierens einer 
Grenze, mil: 

25 

- einer Einrichtung zur Erfassung von Personendaten 
von Sysiembenutzern, 

- einer Einrichtung zur Erfassung von biometrischen 
Daien der Sysiembenutzer, 

- einer Einrichlung zur Weiiergabe der Personendaten 30 
der Sysiembenutzer an eine Fahndungsdatenbank und 
Abfrage, ob der jeweilige Sysiembenutzer auf einer 
Fahndungsliste stent, 

einer Einrichtung zum Speichern von Daten, die die 
Personendaten und biometrischen Daten des jewei ligen 35 
Systembenuizers umfassen, auf einem fiir jeden Sy- 
siembenutzer vorgesehenen Identifikationsmedium 
und gegebenenfalls identifikationsmediumspezifischer 
Daten, wenn das Ergebnis der Fahndungsabfrage nega- 
tiv ist, 40 

- einer vor einer Grenze angeordneten Durchgangs- 
schleuse zum Regulieren des Durchgangs der Sysiem- 
benutzer mil einem Eingang und einem Ausgang, wo- 
bei der Eingang und der Ausgang in Grundslellung ver- 
schlossen sind, 45 

- einer vor dem Eingang der Durchgangsschleuse an- 
geordneten Einrichlung zur Vereinzelung der System- 
benulzer, einer hinter der Vereinzelungseinrichtung, 
aber vor dem Eingang der Durchgangsschleuse ange- 
ordneten Einricht ung zum Lesen der auf den Identifika- 50 
lionsmedien gespeicherten Daten, 

- einer vor dem Eingang der Durchgangsschleuse an- 
geordneten Einrichtung zur Uberprufung der Echlheit 
der Identifikationsmedien, 

- einer vor dem Eingang der Durchgangsschleuse an- 55 
geordneien Einrichlung zur Uberprufung des Vorlie- 
gens einer Manipulation der Daten auf dem jewei ligen 
Identifikationsmedium, 

- einer Einrichtung zum Offnen des Eingangs der 
Durchgangsschleuse, wenn die Echlheit des jeweiligen 60 
Idenlifikationsmediums und keine Manipulation der 
Daten auf dem jewei ligen Idcniifikationsmedium fesl- 
gestclll wurden, 

- einer in der Durchgangsschleuse befindlichen Ein- 
richtung zum Erfassen von biometrischen Daten cincs 65 
hineingelassenen Sysiembenutzers, 

- einer Einrichlung zum Vergleich der erfaBten biome- 
trischen Daien mil den auf dem Ident ifikat ionsmedium 
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des hineingelassenen Sysiembenutzers gespeicherten 
biometrischen Daten, 

- einer Einrichtung zum Auslosen eines Alarrnsignals, 
wenn die erfaBten und die auf dem jewei ligen Identifi- 
kationsmedium gespeicherten biometrischen Daten 
nicht ubereinstimmen, 

- einer Einrichtung zur Weiiergabe der Personendaten 
an die Fahndungsdatenbank und zur Abfrage, ob der 
Sysiembenutzer auf einer Fahndungsliste stent, und 

- einer Einrichlung zum Offnen des Ausgangs der 
Durchgangsschleuse und Ermoglichen eines Grenz- 
ubertri Us des Systembenuizers. wenn das Ergebnis der 
Fahndungsabfrage negativ ist, und zur Auslosung eines 
Alarrnsignals, wenn das Ergebnis der Fahndungsab- 
frage positiv ist. 

Weiterhin wird die Aufgabe gelost durch ein Verfahren 
zur automatisicrtcn Kontrolle des Passierens einer Grenze, 
das die folgenden Schritte umfaBt: 

- Erfassen von Personendaten von Sysiembenutzern, 

- Erfassen von biometrischen Daten der Sysiembenut- 
zer, 

- Weiiergabe der Personendaten der Sysiembenutzer 
an eine Fahndungsdatenbank und Vornahme einer Ab- 
frage, ob der jeweilige Systembenulzer auf einer Fahn- 
dungsliste stent, 

- Speichern von Daien, die die Personendaten und 
biometrischen Daten des jeweiligen Sysiembenutzers 
umfassen, auf einem fiir jeden Sysiembenutzer vorge- 
sehenen Identifikationsmedium und gegebenenfalls 
identifikationsniediumspezi rise her Daten, wenn das 
Ergebnis der Fahndungsabfrage negativ ist, 

Vereinzelung der einen Grenzubertritlsversuch un- 
ternehmenden Systembenulzer vor einer Durchgangs- 
schleuse mil einem Eingang und einem Ausgang, wo- 
bei der Eingang und der Ausgang in Grundslellung ge- 
schlossen sind, 

- Lesen der auf dem Identi fi kauonsrnedium gespei- 
cherten Daten, 

- Uberprufung der Echlheit des jeweiligen Idcntifika- 
tionsmediums, 

- Uberpriifen des Vorliegens einer Manipulation der 
Daten auf dem jeweiligen Identi fifkalionsmedium, 

- Offnen des Eingangs der Durchgangsschleuse, wenn 
die Echlheit des jeweiligen Idenlifikationsmediums 
und keine Manipulation der Daten auf dem jeweiligen 
Identifikationsmedium festgestelli werden, 

- Erfassen von biometrischen Daten eines in die 
Durchgangsschleuse hineingelassenen Sysiembenut- 
zers, 

- Vergleichen der erfaBten biometrischen Daten mit 
den auf dem Identifikationsmedium des hineingelasse- 
nen Sysiembenutzers gespeicherten biometrischen Da- 
ten, 

- Auslosen eines Alarrnsignals, wenn die erfaBten und 
die auf dem jeweiligen Identifikationsmedium gespei- 
cherten biometrischen Daten nicht ubereinstimmen, 

- Weil erg eben der Personendaten an die Fahndungs- 
datenbank und Abfragen, ob der Sysiembenutzer auf 
einer Fahndungsliste stent, und 

- Offnen des Ausgangs der Durchgangsschleuse, 
wenn das Ergebnis der Fahndungsabfrage negativ ist, 
bzw. Auslosen eine Alarrnsignals, wenn das Ergebnis 
der Fahndungsabfrage positiv isi. 

Insbesondere kann bei dem System vorgesehen sein. daB 
e Einrichtung zur Erfassung von Personendaten von Sy- 
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siembenutzern eine Einrichiung zum auiomaiischen Einle- 
sen der Personendaien aufweist. Beispielsweise kann die 
Einrichtung zum auiomaiischen Einlesen der Personendaien 
ein Scanner sein. 

Vorteilhafterweise umfaBt die Einrichtung zur Erfassung 
von biometrischen Daien eine Einrichiung zur Erfassung ei- 
nes Fingerabdruckes und/oder der Netzhautstruktur und/ 
Oder der Gesichtsmerkmale und/oder der S limine und/oder 
Sprache eines jeweiligen Systembenulzers. 

Eine weiiere besondere Ausfuhrungsform des Systems isi 
gekennzeichnet durch eine Einrichtung zur Verarbeiiung der 
erfafiten biometrischen Daten und Umrechnung in ein oder 
mehrere reprasentative(s) Datenmerkmal(e), anhand dessen/ 
derer eine Wiedererkennung des Systembenulzers bei der 
Kontrolle moglich ist. 

Auch kann vorgesehen sein, daB die Einrichiung zur Spei- 
cherung von Daten eine Einrichtung zur Verschlusselung 
der Pcrsoncn- und/oder Idcntifikationsmcdiumdalcn und zur 
Erzeugung eines identifikationsmediumspezifischen Schliis- 
sels aufweist. 

Ferner kann auch vorgesehen sein, daB die Verschliissel- 
ungseinrichtung ein lokal vorgesehenes Sicherheitsmodul 
ist oder sich in einem Hintergrundsystem befindet, das uber 
eine On-Line-Datenverbindung verbunden ist. 

Vorzugsweise weist die Einrichtung zur Speicherung der 
Daten eine Einrichtung zur elektrischen Personalisierung 
der verschlusselten Daten in dem Identifikationsmedium 
und/oder eine Einrichtung zum Aufbringen der Personenda- 
ten und gegebenenfalls eines Fotos sowie der Un terse hri ft 
des jeweiligen Systembenulzers auf das Identifikationsme- 
dium auf Beispielsweise konnen die Personendaien im 
Thermotransfer-Druck auf das Identifikationsmedium auf- 
gebracht werden. 

Gunstigerweise weist die Einrichtung zur Speicherung 
der Daten eine Einrichtung zum Uberziehen des Identifikati- 
onsmediums mil einer Laminatfolie auf. Durch die Laminat- 
folie wird das Identifikationsmedium falschungssicher. 

Vorzugsweise sind die Identifikationsmedien Smart 
Cards. 

Gunstigerweise ist in der Durchgangsschleuse minde- 
stens eine Videokamera vorgesehen. Dies ermoglicht eine 
Uberwachung der Durchgangsschleuse insbesondere hin- 
sichtlich der Vornahme einer wirksamen Vereinzelung. 

Weiterhin kann vorgesehen sein, daB die Einrichtung zum 
Lesen der auf den Identifikationsmedien gespeicherten Da- 
ten eine Einrichtung zum Berechnen des identi fi kationsme- 
diumspezifischen Schliissels aus den verschlusselten Identi- 
fikationsmediumdaten und Verification desselben aufweist. 
Damit ist die Vornahme einer Kartenlegitimationsprufung 
moglich. 

Weiterhin weist die Einrichtung zum Lesen der auf dem 
Identifikationsmedium gespeicherten Daten vorzugsweise 
eine Einrichtung zumEntschlusseln der verschlusselten Per- 
sonendaien und Verification dcrselben auf. Dies ermoglicht 
eine Personenlegiiimationspriifung. 

Eine weiiere besondere Ausfuhrungsform der Erfmdung 
isl gekennzeichnet durch eine Einrichtung zur Erzeugung 
und Verleilung von Schliisseln fur die Datenverschliisselun- 
gen und Uberwachung des Systembetriebes. Eine derartige 
Einrichtung erfiillt die Funklion eines Trusl Center. 

Eine weiiere besondere Ausfuhrungsform der Erfindung 
isl gekennzeichnei durch eine Einrichiung zur Verwaltung 
und Uberwachung insbesondere der Lebensdauer aller an 
Sysiembenutzer ausgegebener Identifikationsmedien. 

SchlicBlich ist cine wcilcrc besondere Ausfuhrungsform 
der Erfindung gekennzeichnei durch eine Einrichtung zur 
kryptographischen Verschlusselung von zwischen Einrich- 
lungen des Systems und/oder zwischen dem System und ex- 
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lernen Einrichtungen ubertragenen Daten. Dies soil vor ei- 
nem unerlaubten ZugrilT auf die ubertragenen Daten schut- 
zen. 

Die Unleranspriiche 17 bis 26 beireffen vorteilhafle Wei- 
5 terentwicklungen des erfindungsgemaBen Verfahrens. 

Der Erfindung liegt die uberraschende Erkenntnis zu- 
grunde, daB durch eine Integration der behordlichen Kon- 
trollen in den Gesamtablauf, wobei ein Teil der Kontrolle im 
Prinzip vorgezogen wird, eine Beschleunigung und Vcrein- 
10 fachung der Abwicklung des Grenzverkehrs erzielt wird, 
ohne daB darunter die Qualitat der Kontrolle leidet. Durch 
die zumindest zum Teil vorgezogene Kontrolle kann die 
Kontrolle an der Grenze hinsichtlich der bereils vorab kon- 
troliierten, unproblematischen Reisenden vereinfacht und 
15 verkiirzt werden, wodurch eine Konzentralion der Polizei- 
und Kontrollkrafte auf polentielle Tater und Gefahren mog- 
lich wird. 

Die vorab durchgefuhrte Kontrolle crlaubt. cine maschi- 
nelle Uberpriifung des polizeilich unproblematischen grenz- 
20 uberschreitenden Reisenden verkehrs mil all den Einzelkom- 
ponenten, die auch eine Grenzkonlrolle durch Polizeibeamie 
beinhaltet, namlich Personenvergleich, Echtheitspriifung 
von Grenzubertrittsdokumenten, Fahndungsabfrage, Gestat- 
tung des Grenzubertritts. Dabei werden unter Beriicksichti- 
25 gung aller nalionalen, Schengener und EU-Anforderungen 
zuvor aus polizeilicher Sicht unproblemalische eingestufte 
Reisende nach Antragstellung und auf freiwilliger Basis 
mittels auf ihren Identifikationsmedien gespeicherten Perso- 
nendaten und biometrischen Daten beim Grenzubertrilt je- 
30 weils aktucll maschinell identifiziert und iiber eine On-Line- 
Fahndungsabfrage polizeilich uberpriift. 

Weiiere Merkmale und Vorteile der Erfindung ergeben 
sich aus den Anspruchen und aus der nachstehenden Be- 
schreibung, in der ein Ausfuhrungsbeispiel anhand der sche- 
35 matischen Zeichnungen im einzelnen erlautert ist. Dabei 
zeigt: 

Fig. 1 eine Draufsicht eines Teils eines Systems gemaB ei- 
ner besonderen Ausfuhrungsform der vorliegenden Erfin- 
dung; und 

40 Fig. 2 schematisch wesentliche Einrichtungen und Ein- 
richtungsblocke des Systems; 

Fig. 1 zeigt eine Draufsicht eines Teils eines Systems ge- 
maB einer besonderen Ausfiihrungstbrm der Erfindung. Der 
gezeigte Teil belrifft die Kontrolle von Sy siembenutzern di- 
45 rekt an einer Grenze (z. B. Landesgrenze). Fig. 1 zeigt eine 
Durchgangsschleuse 10 mit einem Eingang 12 und einem 
Ausgang 14. Der Eingang 12 und der Ausgang 14 sind je- 
weils mil einer Drehtiir 16 bzw. 18 versehen. Vor der Dreh- 
tiir 16 am Eingang 12 befindet sich eine Einrichtung zur Ver- 
50 einzelung der Sysiembenutzer (nicht gezeigt). Die Vereinze- 
lung kann mechanisch, aber auch z. B. optisch durchgefnhrt 
werden. Beispielsweise kann dazu eine Ampel verwendet 
werden. Wenn die Ampel auf Griin steht, darf eine einzelne 
Person passieren. Wenn eine Person bei Rot weitergehl, 
55 wird ein opiischer und/oder akustischer Alarm ausgelost. 
Zwischen dieser Einrichtung und der Drehtiir 16 befindet 
sich ein Kartenlesegerat 20 zum Lesen von Smart Cards. 
Die Drehtiir 16 ist in Grundstellung arretiert und verschlieBt 
somit den Eingang 12. In der Durchgangsschleuse 10 befin- 
60 del sich ein Biometriedatenlesegeral 22. Das Kartenlesege- 
rat 20 und das Biometriedatenlesegeral 22 sind mil einem 
lokal en Server des Bundesgrenzschutzes (nicht gezeigt) ver- 
bunden. In der Durchgangsschleuse 10 befindet sich dariiber 
hinaus noch eine Videokamera 24 zur Uberwachung der me- 
65 chanischen Vereinzelung der Sysiembenutzer. 

In Fig. 2 sind schematisch die wesent lichen Einrichtun- 
gen einzeln bzw. in Blocken des Systems gezeigt. Ein Sy- 
stemblock. der mil dem Bezugszeichen 26 versehen isl. be- 
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trifft die Beaniragung und Ausgabe einer Karte (sogen an ri- 
les Enrolment Center). Die Karte in Form einer Smart Card 
28 dient als Berechtigungsausweis fur jeden Systembenut- 
7.er. Sie wird beim Grenzuhertritt in dem in Fig. t gezeigten 
Teil des Systems, der hier als dezentrales automat isiertes 5 
Grenzkonlrollsystem 30 bezeichnet ist, uberpruft. Das de- 
zentrale automatisierte GrenzkontroIIsystem 30 umfaBt ei- 
nen lokalen Server des Bundesgrenzschutzes. der uber eincn 
Dienstsiellen-Server 32 des Bundesgrenzschutzes mil einer 
Fahndungsdatenbank 34 der INPOL, einem Trust Center 36, 10 
einer zentralen Datenverwaltungseinrichiung 38 des Bun- 
desgrenzschutzes und dem Enrolment ('enter 26 in Verbin- 
dung stent. 

In dem Enrolment Center 26 kann eine Kartenbeantra- 
gung vorgenommen werden. Diese umfaBt alle ProzeB- 15 
schritte, die zur Erfassung der potentiellen Systembenuizer, 
also insbesondere die Erfassung ihrer Personen- und biome- 
trischcn Daten, notwcndig sind. Es konnen mchrcrc Enrol- 
ment. Center vorgesehen sein, die an verschiedenen Orten 
errichtet sind. Zur Kartenbeantragung legen die potentiellen 20 
Systembenuizer ihr Grenzubertrittsdokument von von dem 
der Bediener eines PCs, auf dem die Erfassungssoftware 
lauft, die Daten automatisch oder manuell erfaBt. Der Da- 
tensatz wird auf einem Formblatt ausgedruckt und vom an- 
Iragslellenden, potentiellen Systeinbenutzer un terse hrieben. 25 
Das Formblatt en t halt unter anderem folgende weitere An- 
gaben: 

- eine Beschreibung des Systems, 

- die Personalien des potentiellen Systembenutzers, 30 

- die Bedingungen fur die freiwillige Teilnahme am 
System, 

- die notwendigen datenschutzrechtlichen Erklarun- 
gen zur Erhebung, Speicherung, UbermitUung und Ver- 
arbeitung der Personendaten des antragstellenden, po- 35 
tenticllen Systembenutzers im Zusammenhang milder 
automatisierten Grenzkontrolle, 

- einen Hinweis auf die Pflicht des Systembenutzers, 
bei jedem Grenzubertritt ein gulliges Grenzubertritts- 
dokument mil sich zu fiihren, und 40 

- Hinweise zu den anei kannten Reisezwecken, fur die 
das System genutzt werden darf. 

In einem nachsten Schritt wird der Fingerabdruck des po- 
tentiellen Systembenutzers mittels eines Fingerabdrucklese- 45 
gerates (nichl gezeigt) erfaBt. Die vom Fingerabdrucklese- 
gerat gewonnen Daten werden durch die Verarbeitungssoft- 
ware in ein oder mehrere representative Datemnerkmale 
umgerechnet, anhand derer eine Wiedererkennung des Sy- 
stembenutzers bei der Grenzkontrolle moglich wird. Dann 50 
wird ein Test auf Duplikate vorgenommen, das heiBt es wird 
uberpruft, ob der Aniragsteller bereits im System erfaBt ist. 
Die zuvor erfaBten Personendaten werden um die biomelri- 
schen Daten erganzt und zur Verschlusselung gegeben. 
Diese erfolgt entweder am lokalen System in einem dafur 55 
vorgesehenen Sicherheitsmodul oder in einem Hiniergrund- 
system, zu welchem fiirdiesen Zweck eine On-Line-Daten- 
verbindung geschaltet wird. Die verschliisselten Daten wer- 
den im Enrolment Center in einen Smart Card-Ron ling elek- 
trisch personalisiert und die Personendaten auf dem Smart- 60 
Card-Korper im Thermotransfer-Druck aufgebracht. Zu- 
satzlich konnen gegebenenfalls ein Foto des Systembenut- 
zers sowie seine Personalien (beides erforderlichenfalls als 
Grundlage Iiir eine manuelle Uberprufung, z. B. im Rahmen 
von Stichprobcnkontrollcn), seine Untcrschrift und der 65 
Name des ausstcllenden Enrolment Centers aufgedruckt 
werden. AnschlieBend wird der Smart-Card-Korper mil ei- 
ner falschungssichercn I^aminatfolic iiberzogen. All diese 
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Schriue laufen in einer Maschine ab und werden vom PC 
iiberwacht. Nach einer Funktionskonirollc an einem Termi- 
nal im Enrolment Center wird die Smart Card dem System- 
henutzer ausgehandigt. Das gesamte Enrolment dauert we- 
niger als 10 Minuten. Die Kartenbeanlragung und -ausgabe 
kann auch gleichzeitig mil der erstnialigen Benutzung des 
Systems an der Grenze vor On vorgenommen werden. 

Alle hoheitlichen Schritte - die Durchfuhrung der vorge- 
zogenen Grenzkontrolle entsprechend der nationalen, 
Schengener und EU-Anforderungen und die Freigabe der 
Smart Card - sind einem Beamten der Grenzkonlrollbe- 
horde vorbehalten. Er wird gegebenenfalls unterstiitzt durch 
Personal bzw. Beau ft rag te des Betreibers. Fiir die Mitarbei- 
ter in den Enrolment Center werden ebenfalls geeignete Zu- 
gangskontrollen vorgesehen. 

Dariiber hinaus stellt die Erfassungssoftware sicher, daB 
Smart Cards nur mil Zutun legiiimierter Grenzkonlrollbe- 
aniter, nur nach crfolgrcichcm Vcrlaufcn allcr erforderlichcn 
Schritte und nur fur visumsbefreite Angehorige bestimmter 
zugclasscner Siaaten ausgestellt werden, die im Besitz eines 
giiltigen Reisedokumentes sind. 

Die Kartenkontrolle umfaBt alle Prozesse, die bei der Prii- 
fung des Karteninhabers im Rahmen der Einreise durchge- 
fuhrt werden. Die Kartenkontrolle findet innerhalb einer 
Durchgangsschleuse 10 (siehe Fig. 1) stall, welche die zu 
kontrollierende Person belreten muB. 

Die Durchgangsschleuse selbst kann problemlos in die 
bestehende Infraslruktur integriert werden, das heiBt es sind 
nur geringfugige bauliche Veranderungen notwendig. Der 
lokale Server dient zur Ablaufsteuerung und zur Koinmuni- 
kation mil externen Rechnern. 

Vor der Durchgangsschleuse 10 findet zunachst eine me- 
chanische Vereinzelung mittels einer Einrichtung zur me- 
chanischen Vereinzelung (nicht gezeigt) stall, um das Ein- 
treten von Unberechiigten sowie mehreren Personen zur 
gleichen Zeil zu verhindern. Diese MaBnahme wird durch 
den Einsatz einer Videokamera 24 in der Durchgangs- 
schleuse JO und entsprechender Bildauswertungssoftware 
erganzt. 

Hinter der Einrichtung zur Vereinzelung, aber vor dem 
Eingang 12 wird die zu uberprufende Person zum Einfuhren 
der Smart Card in ein Kartenlesegerai 20 aufgefordert. In 
dem Karlenlesegerat 20 befindet sich cin Sicherheitsmodul 
(nicht gezeigt) zur Echtheitsuberprufung der Smart Card so- 
wie der darauf gespeicherten Personendaten. Jede aulhenu- 
sche Smart Card besitzl einen Smart Card-spezifischen 
Schliissel, der basierend auf besiimmten Smart Card Daten 
von dem Sicherheilsmodul im Kartenlesegerai 20 berechnet 
und sodann verifiziert werden kann. Die Kommunikation 
zwischen der Smart Card und dem Sicherheilsmodul in dem 
Karlenlesegerat 20 wird zusatzlich mil einem temporaren 
Schliissel geschutzt, der vorher zwischen der Smart Card 
und dem Sicherheitsmodul ausgehandeit worden ist. 

Danach werden die Personendaten einschlieBlich biome- 
trischen Daten aus der Smart Card gelesen und eine ange- 
hangte Signatur (MAC) mil Hilfe des offentlichen Schliis- 
sels im Sicherheilsmodul auf Echtheit uberpruft. So konnen 
illegale Datenmanipulalionen sicher erkannt werden. 

Wenn die Echtheil der Karle und das Vorliegen keiner Da- 
tenmanipulation verifiziert worden sind, laBt sich die Dreh- 
tur 16 drehen, so daB die Person in die Durchgangsschleuse 
gclangen kann. In der Durchgangsschleuse 10 wird mittels 
des Biometriedatenlesegerates 22 der Fingerabdruck des Sy- 
stembenutzers erhoben und ein Vergleich mil den auf seiner 
Smart Card gespeicherten biomctrischen Daten vorgenom- 
men. Dazu werden aus den lokal gewonnen Daten Extrakie 
gebildet und mil den in der Smart Card gespeicherten Daten- 
merkmalen verglichen. 
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Durch dieses zweistufige Ubeiprufungsverfahren am Ein- 
gang der Durchgangsschleuse und innerhalb derselben wird 
zweierlei erreicht: 

- es wird festgestelll, daB es sich bei der Person, der 
aufgrund der am Eingang der Durchgangsschleuse ge- 
pruften Smart Card der EinlaB gewahrt wurde, uni ei- 
nen berechligten Systembenutzer handelt: 

- unberechtigten Personen wird der Eintritt in die 
Durchgangsschleuse verwehrt; hier diirfle es ausrei- 
chen, auf einem Bildschirm am Kartenlesegerat am 
Eingang der Durchgangsschleuse einen Hinweis zu ge- 
ben, sich der regularen Grenzkontrolle zu unterziehem 

- MiBbrauchliche Benutzer oder durch das System 
falschlicherweise zuriickgewiesene Berechtigie (dies 
laBt sich durch kein technisches Syslem zu 100% aus- 
schlieBen) werden spatestens in der Durchgangs- 
schleuse zuvcrlassig fcstgcstcHt. Hier ware - nach ci- 
ner enlsprechenden automatischen Alarmauslosung 
durch das Syslem - ein Eingreifen durch die Grenzkon- 
trollbehorde oder einen Beauftragten erforderlich, um 
die Person aus der Durchgangsschleuse zu bet reien und 
einer regularen Grenzkontrolle zuzufuhren. 

Im nachsten Schrill werden die erforderlichen Personen- 
daten uber den lokalen Server des Bundesgrenzschutzes zur 
Uberpriifung an eine Fahndungsdatenbank der INPOL wei- 
tergeleitel. 

Wenn alle vorab beschriebenen Schritte beanstandungslos 
durchlaufen werden, wird der Ausgang der Durchgangs- 
schleuse freigegeben. Im Falle einer Beanstandung oder ei- 
nes fehlerhaften Verhaltens des System wird ein Alarm aus- 
gelost und mit der Uberpriifung der Person durch Personal 
des Bundesgrenzschutzes fortgefahren. 

Die Gestaltung der Durchgangsschleuse, die Art der ver- 
wendeten Vereinzelungstechnik und der Freigabe am Aus- 
gang der Durchgangsschleuse konnen in Abhangigkeit von 
z. B. der Ergonomie und der Fuhrung groBer Verkehrs- 
strome bestimmt werden. 

Das Trust Center 36 dieni als zentrale Systemkomponente 40 
zur Verwaltung aller sicherheitsrelevanten Aspekte des Sy- 
stems, also insbesondere zur Erzeugung und Verteilung von 
Schliisseln und Uberwachung des lautenden Systembetrie- 
bes. 

Die zentrale Datenverwaltungseinrichtung 38 des Bun- 45 
desgrenzschutzes dient zur Verwaltung aller ausgegebenen 
Smart Cards mit Funktionen zur Uberwachung des Card 
Life Cycle. Die Kartenverwaltung beinhaltet auch die Funk- 
tionen zur Antragsbearbeitung, also der Erfassung der Per- 
sonendaten und der biometrischen Daten. 50 

Die besondere Sensibilitat der Daten der Smart Cards und 
der damit verbundenen Funktionalitat erfordem ein hohes 
MaB an Schutz gegen: 

- Verfalschung der Personendaten auf der Smart Card 55 

- Verfalschung der biometrischen Daten 

- Verfalschung der Verbindung zwischen biometri- 
schen Daten und den Personaldaten 

- Manipulationen an einem Kon troll terminal 

- Manipulationen bei der Erfassung der Personenda- 60 
ten bzw. der biometrischen Daten und 

- Angriffe auf die kryptographischen Funktionen im 
System. 

Zur umfassenden Absichcrung dieser Risikcn ist cine 65 
schalenartige Sicherheitsarchitektur zur Absichcrung zen- 
traler Jnfonnationen und Funktionen ratsam. Zicl der Archi- 
tcktur ist, die Errichtung mehrerer Hiirden; die ein potenliel- 
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ler Angreifer uberwinden muB, um das System zu manipu- 
lieren. 

Den Kem bilden die Personendaten zusammen mit den 
biometrischen Daten. Diese Daten werden im System als 
5 eine Einheit betrachtei, das heiBl biometrische Daten sind 
ein Element des Personendatensatzes. Uber den Personen- 
datensatz wird zunachst mit Hilfe eines Secure Hash-Ver- 
fahrens, z. B. dem SHA-1 Algorithmus, eine kryptographi- 
sche Priifsumme erzeugt. Dieser 160 Bit lange Wert hat die 
10 typischen Eigenschaften eines guten Hash-Algorithmus, das 
heiBt, er ist im wesentlichen kollisionsfrei. Das Ergebnis des 
Algorithmus wird als ein Teil der Kryptogrammbildung ver- 
wendet^ da der gesamte Personenda t en sa I z als Eingabeda- 
tum der Verschlusselung zu groB ist. Der Hash-Wert kom- 
15 primiert den Inhalt des Personendatensatzes auf eine stark 
reduzierte Form. Dabei kann vom Hash-Wert nicht auf die 
ursprunglichen Daten geschlossen werden. Anderungen im 
Personendatensatz ergeben zwangslaufig cine Andcrung im 
Hash-Wert. Das Secure Hash-Verfahren ist kein Verschlus- 
20 selungsverfahren, das heiBt, es verwendet keine Schlussel. 
In der zweiten Schale werden wesentliche Extrakte aus 
den Personendaten (z. B. Name, Geburlsdatum und Ge- 
burtsort), insbesondere also die Daten fur die Abfrage bei 
der INPOL-Fahndungsdatenbank, zusammen mil dem 
25 Hash-Wen mil einem Private Key-Verfahren verschlussell. 
Als Private Key-Verfahren sollen - abhangig von der weite- 
ren Detailabstimmung - RSA mit einer Schliissellange von 
mindestens 1.024 Bit oder elliptische Kurven mit hinrei- 
chender Schliissellange genutzt werden. 

Fur die Verschlusselung des Extraktes wird der private 
Schlussel einer Ausgabestelle oder der private Schlussel ei- 
ner zentralen Instanz verwendet. Im Ietzteren Fall muB der 
Personendatensatz zur Verschlusselung an die zentrale In- 
stanz versandt werden und er kann erst dann in die Smart 
Card person alisiert werden (z. B. durch On-Line-Anfrage). 

Fur die Entschlusselung des Extraktes wird der offentli- 
che Schlussel benotigt. Dieser wird in den Kontrollterminals 
hinterlegt. Eine Entschlusselung liefert zunachst die Perso- 
nendaten fur die INPOL-Ablrage und den Hash-Wert. Der 
Hash-Wen wird mit einem erneut berechneten Hash-Wert 
verglichen. Bei Gleichheit kann von einem unverfalschten 
Datensatz ausgegangen werden. 

Innerhalb des Verfahrens sind eine Reihe von Varianten 
moglich, deren Nutzung von den konkreten Rahmenbedin- 
gungen abhangt: 

- Eine eindeutige Smart Card- Nu miner konnte in den 
Personendatensatz aufgenommen und dadurch mit die- 
sem verkniipft werden. Eine Ubertragung der Daten 
auf ein andere Smart Card ware damit nicht moglich. 
Eine si nn voile Nutzung dieser Option setzt eine On- 
Line-Personalisierung voraus, bei der Personendaten 
und die Smart Card-Nummer verschlussell und direkt 
in die Smart Card personalisiert werden. 

- Die Verschlusselung des Personendatensatzes kann 
mit dem privaten Schlussel der Ausgabestelle durchge- 
fuhrl werden. Diese wurde dann ihrcn offentlichen 
Schlussel in der Smart Card speichern. Eine Kontroll- 
station wiirde dann zur Vcrifikation des Extraktes den 
von der Smart Card gelieferten offentlichen Schlussel 
der Ausgabestelle nutzen. Zur Verhinderung des MiB- 
brauches, etwa der Einspielung von gefalschten oflent- 
lichen Schliisseln einer Ausgabestelle, mussen die 
Schlusselpaare der Ausgabestelle von einer zentralen 
Instanz clcktronisch signicrt werden. Ein solchcs Vcr- 
fahren crlaubt die Ausgabe der Smart Card ohne Zu- 
griff und A u tori si e rung durch ein Zen tralsy stem. 



BNSOOCID: <DE 19961403A1J_> 



\ 



DE 199 61 

9 

Jede Smart Card im System erhalt bei der Herslellung 
eine eindeutige Seriennummer. Diese Seriennummer ist 
Grundlage der kryptographischen Verfahren, die akiiv durch 
die Smart Card ausgefuhrt werden. Die Smart. Card enthalt 
einen durch Ableitung der Seriennummer unler einem Ma- 5 
sierschlussel gewonnen smart cards pezifischen Schlussel zur 
Authentisierung. 

Die Autheniisierung erfolgt implizit durch das Auslesen 
der Personendaten im sogenannten PRO-Mode. Der PRO- 
Mode ist eine in IS07816 eingefuhrte Variante des Lesezu- 10 
griffs, bei dem die an das Terminal ubertxagenen Daten 
durch einen Message Authentication Code (MAC) gesichert 
werden. Dieser MAC wird dynamisch bei jedem LesezugrifY 
neu erzeugt, um einen sogenannten Replay- A ngriff, also das 
emeute Einspieien bereits gelesener Dalen, auszuschlieBen. 15 

Die Erzeugung des MAC erfolgt innerhalb des Betriebs- 
systems der Smart Card unter Nutzung des kartenindividuel- 
Icn Authcntisicrungsschlusscls und cincr durch das Tcrmi- 
nal gelieferten Zufallszahl. Das Terminal enthalt hierzu in 
einem Sicherheitsmodul (z. B. eine weitere Smart Card) ei- 20 
nen Zufallszahlengenerator und den Masterschlussel, wel- 
che fur die Ableitung des Smart Card-Schlussels unter der 
Smart Card-Seriennummer benutzt wird. Das Terminal 
uberpruft selbstandig und unmittelbar nach dem Auslesen 
der Smart Card-Daten den MAC und weist eine Karle mil 25 
fehlerhaftem MAC ab. 

Wichtig ist in diesem Zusammenhang, da8 der MAC dy- 
namisch durch die Smart Card erzeugt wird. Der dazu not- 
wendige Schlussel muB in der Smart Card vorhanden sein. 
Eine Manipulation der Smart Card, z. B. durch Duplizieren, 30 
erfordert Zugriff auf diesen Kartenschltissel, welches nur 
unter hohem finanziellen Aufwand moglich isL 

Auch fur diese Schutzstufe gibt es eine Variante, die je- 
doch eine leistungsfahigere Smart Card voraussetzt. Statt ei- 
nem symmetrischen Verfahren fur die MAC-Bildung (in der 35 
Regel Triple DES) kann das asymmetrische Verfahren der 
elliptischen Kurven Anwendung finden. Bei diesem Verfah- 
ren wird in der Karte der private, kartenindividuelle Schlus- 
sel auslesegeschutzt gespeichert und der offentliche Schliis- 
sel lesbar gemacht. Der offentliche Schlussel muB dazu mil 40 
dem privaten Schlussel des Systembetreibers signiert wer- 
den. Ein Kon troll terminal braucht nun nur den weniger si- 
cherheitskritischen, offentlichen Schlussel des Systembe- 
treibers zu speichern und mit ihm die Echtheit des kartenin- 
dividuellen offentlichen Schlussel zu iiberprufen. 45 

Das Auslesen der Daten erfolgt analog dem symmetri- 
schen Verfahren, mit der Abweichung, daB der MAC durch 
den asymmetrischen Algorithmus erzeugt wird. 

Solche Verfahren auf Basis asymmetrischer Kryptogra- 
phie finden aufgrund ihrer hohen Anforderungen an die Re- 50 
chenleislung nur begrenzten Einsatz in Smart Cards. Jm De- 
tail muB hier sicher noch das Antwort-Zeitverhalten einer 
solchen Losung betrachtet werden. 

Die Uberlragung der Daten zwischen Einrichtungen des 
Systems, insbesondere die Ubertragung der Daten bei der 55 
Kartenausgabe soil durch kryptographische Verfahren abge- 
sichcrt werden. Hierzu bieten sich Verfahren der Line-Ver- 
schlusselung an, mit denen sich geschiitzte, transparenle Da- 
tenkanale aufbauen lassen. 

Mil diesen Verfahren laBl sich die Inlegritai. der Daten und 60 
die Vertraulichkeit sicherstellen. Letztere ist insbesondere 
bei der Erzeugung und Verteilung der Systenischltissel von 
Bedeutung. 

Ein wesentlicher, oft unterschatzter Mechanismus zur Si- 
chcrung von Informationssystcmcn ist die Einbctlung der 65 
lechnischen Systeme in eine zuverliissige Ablauforganisa- 
tion (5. Schalc). Die besien und Iangstcn Schlussel verfahren 
der Welt nulzen nichis. wenn die Schlussel einfach zugang- 
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lich sind. Technische Verl'ahren konnen hier nur einen be- 
grenzten Schutz herstellen, einem AngritT von innen sind sie 
oft schutzlos ausgeliefert. 

Ein weiteres Merkmal der 5. Schale ist die Absicht. alle 
sicherheitsrelevanten Systemeinrichtungen in die Obhut der 
Grenzkontrollbe horde zu stellen. Dadurch soil aus Sicht der 
Behorde gewahrleistet werden, daB ein Zugriff auf diese Sy- 
stemeinrichtungen ohne ihr Zutun und unter keinen Umstan- 
den moglich ist. Dazu mussen sich nicht alle Systemeinrich- 
tungen tatsachlich in den Raumlichkeiten der Behorde selbst 
befinden. Der technischen Betrieb konnte auch bei einem 
Beau f tragi en der Behorde durchgefuhrt werden, solange 
durch entsprechende vertragliche Gewahrleistungsklauseln 
ein unerlaubler Zugriff durch Dritte (einschlieBlich dem Be- 
treiber) unmoglich ist. 

Eine zusatzliche organisatorische Schutzvorkehrung be- 
steht darin, daB alle hoheitlichen Schritte - das heiBt die 
Durchfuhrung der vorgczogenen Grcnzkon troll c cntsprc- 
chend den nationalen, Schengener und EU-Anforderungen 
und die Freigabe der Smart Card - einem Beamten der 
Grenzkontrollbehorde vorbehalten sind. Fur ihn sowie fur 
die anderen Mitarbeiter in dem Enrolment Center bestehen 
geeignete Zugang s kon trollen. 

Daruber hinaus stellt die Erfassungssoft ware sicher, daB 
Smart Cards 

- nur auf der Basis im System bereits bekannter Smart 
Card-Rohlinge (jeder Smart Card-Rohling besitzt eine 
ein-eindeutige Kartennu miner), 

- nur mit Zutun im System legitimierter Grenzkon- 
trollbeamter, 

- nur nach erfolgreichem Durch laufen aller erforderli- 
chen Schritte und 

nur fiir Angehorige bestimmter zugelassener Staaten 
ausgestellt werden, die im Besitz eines gultigen Reise- 
dokumentes sind. 

Die erfindungsgemaBen Systeme haben einige Vorteile, 
die es von vcrschiedenen anderen, bi slang erfolglosen Ver- 
suchen zur flachendeckenden Einfuhrung automaiisiener 
Grenzkon trollen unterscheiden: 

- Das System stellt eine wirksame und sparsame Mog- 
lichkeit dar, Grenzkontrollbehorden effizienter zu ma- 
chen. Das System erlaubt es den Grenzkon troilkraften, 
sich auf einen eher polizeilich relevanten Personen- 
kreis zu fokussieren. Damit konnen sie mit weniger 
Aufwand mehr fur Sicherheit und Service leisten. 

- Die gemaB einer besonderen Ausfuhrungsform der 
Erfindung eingesetzte Smart Card erlaubt die Speiche- 
rung auch sensibler Daten ohne das Risiko eines MiB- 
brauchs durch unerlaubte Veranderungen oder von Fal- 
schungen. 

- Das Verfahren erlaubt kurzestmogliche Transakti- 
onszeiten (im wesentlichen nur abhangig vom Ant- 
wort-Zeitverhalten der Abfrage bei der INPOL-Fahn- 
dungsdaienbank). 

- Das Verfahren erlaubt geringstmogliche Transakti- 
onskosten. 

- Das Verfahren birgt keine datenschutzrechtliche Pro- 
blematik (der Besilzer tragi seine vor unberechtigtem 
Zugrifl' sicher geschutzten personenbezogenen Dalen 
mit sich). 

- Die in einer besonderen Ausfuhrungsform der Erfin- 
dung vcrwcndctc Smart Card enthalt ausrcichcndc 
Speicherkapazitai fiir diese und gegebenenfalls weitere 
zukunftige Anwendungen mit zusatzlichen Nutzpoten- 
tialen. 
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- Auf der gemaB einer besonderen Ausfuhrungsform 
der Erfindung verwendeien Smart Card befindet sich 
ausreichend Plalz, urn gegebenen falls weiiere Sicher- 
heitsmerkmale (z. B. maschinenlesbares Hologram m 
mi! Mikroschrift) oder andere Speichervarianten 5 
gleichzeiug zu nutzen. 

Die in der vorstehenden Beschreibung, in den Zeichnun- 
gen sowie in den Anspriichen oftenbanen Merkmale der Er- 
findung konnen sowohl einzeln als auch in beliebigen Kom- 10 
binalionen fiir die Verwirklichung der Erfindung in ihren 
verschiedenen Ausfiihrungsformen wesentliche sein. 



Bezugszeichenlisie 

8 Grenze 

10 Durchgangsschleuse 

12 Eingang 

14 Ausgang 

16, 18 Drehtur 

20 Kartenlesegerat 

22 Biometriedatenlesegerat 

24 Videokamera 

26 Enrolment Center 

28 Smart Card 

30 dezenlrales automatisiertes Grenzkontrollsystem 
32 Dienststellen-Server 
34 Fahndungsdatenbank 
36 Trust Center 

38 zentrale Datenverwaltungseinrichtung 
Paten tan sprue he 



15 



20 



30 



1. System zur automatisierten Kontrolle des Passie- 
rens einer Grenze, mit: 35 

- einer Einrichtung zur Erfassung von Personen- 
daten von Systembenutzern, 

- einer Einrichtung zur Erfassung von biometri- 
schen Daten der Systembenutzer, 

- einer Einrichtung zur Weitergabe der Personen- 40 
daten der Systembenutzer an eine Fahndungsda- 
tenbank (34) und Abfrage, ob der jeweilige Sy- 
stembenutzer auf einer Fahndungsliste stent, 

- einer Einrichtung zum Speichern von Daten, 
die die Personendaten und biometrischen Daten 45 
des jeweiligen Systembenutzers umfassen, auf ei- 
nem fiir jeden Systembenutzer vorgesehenen 
Identifikationsmediurn und gegebenenfalls identi- 
fikationsmediumspezifischer Daten, wenn das Er- 
gebnis der Fahndungsabfrage negativ isl, 50 

- einer vor einer Grenze (8) angeordneten Durch- 
gangsschleuse (10) zum Regulieren des Durch- 
gangs der Systembenutzer mil einem Eingang 
(12) und einem Ausgang (14), wobei der Eingang 
(12) und der Ausgang (14) in Grundslellung ver- 55 
schlossen sind, 

- einer vor dem Eingang (12) der Durchgangs- 
schleuse (10) angeordneten Einrichtung zur Ver- 
einzelung der Systembenutzer. 

- einer hinter der Vereinzelungseinrichlung. aber 60 
vor dem Eingang (12) der Durchgangsschleuse 
(10) angeordneten Einrichtung zum Lesen der auf 
den Identifikationsmedien gespeicherten Daten. 

- einer vor dem Eingang (12) der Durchgangs- 
schleuse (10) angeordneten Einrichtung zur Ubcr- 65 
prufung der Echtheil der Idem ifikal ions medi en. 

- einer vor dem Eingang (12) der Durchgangs- 
schleuse (10) angeordneten Einrichtung zur Uber- 



priifung des Vbrliegens einer Manipulation der 
Daten auf dem jeweiligen Identifikationsmediunu 

- einer Einrichtung zum Offnen des Eingangs 
(12) der Durchgangsschleuse (1 0), wenn die Echt- 
heil des jeweiligen Identifikationsmediums und 
keine Manipulation der Daten auf dem jeweiligen 
Idenu fikations medi urn festgestellt wurden, 

- einer in der Durchgangsschleuse (10) befindli- 
chen Einrichtung zum Erfassen von biometri- 
schen Daten eines hineingelassenen Systembenut- 
zers, 

- einer Einrichtung zum Vergleich der erfaBten 
biometrischen Daten mil den auf dem Identifikati- 
onsmediurn des hineingelassenen Systembenut- 
zers gespeicherten biometrischen Daten. 

- einer Einrichtung zum Auslosen eines Alarmsi- 
gnals, wenn die erfaBten und die auf dem jeweili- 
gen Identifikationsmediurn gespeicherten biome- 
trischen Daten nicht iibereinsummen, 

- einer Einrichtung zur Weitergabe der Personen- 
daten an die Fahndungsdatenbank (34) und zur 
Abfrage, ob der Systembenutzer auf einer Fahn- 
dungsliste stent, und 

- einer Einrichtung zum Offnen des Ausgangs 
der Durchgangsschleuse (10) und Ermoglichen ei- 
nes Grenzubertritts des Systembenutzers, wenn 
das Ergebnis der Fahndungsabfrage negativ ist, 
und zur Auslosung eines AJarmsignals, wenn das 
Ergebnis der Fahndungsabfrage positiv ist. 

2. System nach Anspruch 1, dadurch gekennzeichnet, 
daB die Einrichtung zur Erfassung von Personendaten 
von Systembenutzern eine Einrichtung zum automati- 
schen Einlesen der Personendaten aufweist. 

3. System nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB die Einrichtung zur Erfassung von bio- 
metrischen Daten eine Einrichtung zur Erfassung eines 
Fingerabdruckes und/oder der Netzhautstruktur und/ 
oder der Gesichtsmerkmale und/oder der Stimme und/ 
oder Sprache eines jeweiligen Systembenutzers auf- 
weist. 

4. System nach einem der Anspriiche 1 bis 3, gekenn- 
zeichnet durch eine Einrichtung zur Verarbeitung der 
erfaBten biometrischen Daten und Umrechnung in ein 
oder mehrere represent ative(s) Daten merkmal(e), an- 
hand dessen/derer eine Wiedererkennung des System- 
benutzers bei dej- Kontrolle moglich ist. 

5. System nach einem der vorangehenden Anspriiche, 
dadurch gekennzeichnet, daB die Einrichtung zur Spei- 
cherung von Daten eine Einrichtung zur Verschlusse- 
lung der Personen und/oder Identifikationsmediumda- 
ten und zur Erzeugung eines identifikationsmedium- 
spezifischen Schliissels aufweist. 

6. System nach Anspruch 5, dadurch gekennzeichnet, 
daB die Verschliisselungseinrichtung ein lokal vorgese- 
henes Sicherheitsmodui ist oder sich in einem Hinter- 
grundsystem befindet, das iiber eine On-Line-Daten- 
verbindung verbunden ist. 

7. System nach Anspruch 5 oder 6, dadurch gekenn- 
zeichnet, daB die Einrichtung zur Speicherung der Da- 
ten eine Einrichtung zur elcktrischen Personalisierung 
der verschlussellen Daten in dem Tdentifikationsme- 
dium und/oder eine Einrichtung zum Aufbringen der 
Personendaten und gegebenenfalls eines Fotos sowie 
der Unterschrift des jeweiligen Systembenutzers auf 
das Identifikationsmediurn aufweist. 

8. System nach Anspruch 7, dadurch gekennzeichnet, 
daB die Einrichtung zur Speicherung der Daten eine 
Einrichtung zum Uberziehen des Identifikationsmedi- 
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urns mil einer Laminatfolie aufweist. 

9. System nach einem der vorangehenden Anspruche, 
dadurch gekennzeichnet, daB die Idenlifikaiionsmedien 
Smart. Cards (28) sind. 

10. System nach einem der vorangehenden Ansprii- 5 
che. dadurch gekennzeichnet, daB in der Durchgangs- 
schleuse (10) mindestens eine Videokamera (24) ver- 
ge sehen ist. 

11. System nach einem der vorangehenden Anspru- 
che. dadurch gekennzeichnet, daB die Einrichtung zum 10 
Lesen der auf den Identifikauonsmedien gespeicherten 
Daten eine Einrichtung zum Berechnen des identifika- 
tionsmediumspezifischen Schlussels aus den ver- 
schlusselten Identifikationsmediumdaten und Verifika- 
tion desselben aufweist. 15 

12. System nach einem der vorangehenden Anspru- 
che, dadurch gekennzeichnet, daB die Einrichtung zum 
Lcscn der auf dem Identifikationsmedium gespeicher- 
ten Daten eine Einrichtung zum Enlschl Ossein der ver- 
schliisselten Personendaten und Verifikation derselben 20 
aufweist. 

13. System nach einem der vorangehenden Anspru- 
che, gekennzeichnet durch eine Einrichtung zur Erzeu- 
gung und Verteilung von Schliisseln fur die Datenver- 
schlusselungen und Uberwachung des Systembelrie- 25 
bes. 

14. System nach einem der vorangehenden Ansprii- 
che, gekennzeichnet durch eine Einrichtung zur Ver- 
waltung und Uberwachung insbesondere der Lebens- 
dauer aller an Systembenutzer ausgegebener Identifi- 30 
kationsmedien. 

15. System nach einem der vorangehenden Ansprii- 
che, gekennzeichnet durch eine Einrichtung zur kryp- 
tographischen Verschlusselung von zwischen Einrich- 
tungen des Systems undVoder zwischen aus dem Sy- 35 
stem und exlemen Einrich tungen ubertragenen Daten. 

16. Verfahren zur automatisierten Kontrolle des Pas- 
sierens einer Grenze, das die folgenden Schritte uni- 
faBt: 

- Erfassen von Personendaten von Systembenut- 40 
zem, 

- Erfassen von biometrischen Daten der System- 
benutzer, 

- Weitergabe der Personendaten der Systembe- 
nutzer an eine Fahndungsdatenbank und Vor- 45 
nahme einer Abfrage, ob der jeweilige Systembe- 
nutzer auf einer Fahndungsliste steht, 

- Speichem von Daten, die die Personendaten 
und biometrischen Daten des jeweilige n System- 
benutzers umfassen, auf einem fur jeden System- 50 
benutzer vorgesehenen Identifi kationsmedium 
und gegebenen falls identifikationsmediumspezi ri- 
se her Daten, wenn das Ergebnis der Fahndungs- 
abfrage negativ ist, 

- Vereinzelung der einen Grenzuberlritisversuch 55 
unternehnienden Systembenutzer vor einer 
Durchgangsschleuse mil einem Eingang und ei- 
nem Ausgang, wobei der Eingang und der Aus- 
gang in Grundstellung geschlossen sind. 

- Lesen der auf dem Identifikationsmedium gc- 60 
speichcrten Daten, 

- Uberprufung der Echtheit des jeweiligen Idcn- 
t i fikationsmedi urns, 

- Uberprufen des Vorliegens einer Manipulation 
der Daten auf dem jeweiligen Identifi fkaiionsmc- 65 
diuin, 

- Offnen des Eingangs der Durchgangsschleuse. 
wenn die Echtheit des jeweiligen Idem ifikal ions- 
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mediums und keine Manipulation der Daten auf 
dem jeweiligen Identifikationsmedium festgestellt. 
werden, 

- Erfassen von biometrischen Daten eines in die 
Durchgangsschleuse hineingelassenen Systembe- 
nut zers, 

- Vergleichen der erfaBten biometrischen Daten 
mi! den auf dem Identifikationsmedium des hin- 
eingelassenen Systembenuizers gespeicherten 
biometrischen Daten, 

- Auslosen eines Alarmsignals, wenn die erfaB- 
ten und die auf dem jeweiligen Identifikationsme- 
dium gespeicherten biometrischen Daten nicht 
ubereinstimmen, 

- Weitergeben der Personendaten an die Fahn- 
dungsdatenbank und Abfragen, ob der Systembe- 
nutzer auf einer Fahndungsliste steht, und 

- Offnen des Ausgangs der Durchgangsschleuse, 
wenn das Ergebnis der Fahndungsabfrage negativ 
ist, bzw. Auslosen eine Alarmsignals. wenn das 
Ergebnis der Fahndungsabfrage positiv ist. 

17. Verfahren nach Anspruch 16, dadurch gekenn- 
zeichnet, daB die Personendaten der Systembenutzer 
durch automatisches Einlesen erfaBt werden. 

18. Verfahren nach Anspruch 16 oder 17, dadurch ge- 
kennzeichnet, daB der Fingerabdruck und/oder die 
Netzhautstruktur und/oder die Gesichtsmerkmale und/ 
oder die S limine und/oder die Sprache eines jeweiligen 
Systembenuizers erfaBt wird/werden. 

19. Verfahren nach einem der Anspruche 16 bis 18, 
dadurch gekennzeichnet daB die erfaBten biometri- 
schen Daten verarbeitet und in einer oder mehrere re- 
prasentative(s) Daten merkmal(e) umgerechnet werden, 
an hand dessen/derer eine Wiedererkennung des Sy- 
stembenuizers bei der Kontrolle moglich ist. 

20. Verfahren nach einem der Anspruche 16 bis 19, 
dadurch gekennzeichnet, daB die Personen- und/oder 
Identifikationsmediumdaten verschliisselt werden und 
ein identifikationsmediumspezifischer Schlussel er- 
zeugt wird. 

21. Verfahren nach einem der Anspruche 16 bis 20, 
dadurch gekennzeichnet. daB die verschliisselten Daten 
in dem Identifikationsmedium elektrische personali- 
siert und/oder die Personendaten und gegebenen falls 
ein Foto sowie Unterschriften des jeweiligen System- 
benutzers auf das Identifikationsmedium aufgebracht 
werden. 

22. Verfahren nach einem der Anspruche 16 bis 21, 
dadurch gekennzeichnet. daB die Identifikationsmedien 
mil einer Laminat folie uberzogen werden. 

23. Verfahren nach einem der Anspriiche 16 bis 22, 
dadurch gekennzeichnet. daB als Identifikationsme- 
dium Smart Cards verwendet werden. 

24. Verfahren nach einem der Anspruche 16 bis 23, 
dadurch gekennzeichnet, daB die Durchgangsschleuse 
mittels einer Videokamera uberwacht wird. 

25. Verfahren nach einem der Anspruche 16 bis 24, 
dadurch gekennzeichnet, daB aus den verschliisselten 
Identifikationsmediumdaten ein identifi kationsmedi- 
um spezifischer Schlussel berechnet und vcrifiziert 
wird. 

26. Verfahren nach einem der Anspruche 16 bis 25, 
dadurch gekennzeichnet, daB die verschlussellen Per- 
sonendaten entschlusselt und verifiziert werden. 
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